網路安全管理辦法
為加強電子政務網路安全管理工作,確保網路安全執行,需要制定並實施相應的管理制度。小編為你整理了政府,歡迎閱讀!
一
第一章總則
第一條為加強我市政府入口網站和子網站群***簡稱政府入口網站***安全管理,確保政府入口網站的整體安全,根據《中華人民共和國計算機資訊系統安全保護條例》、永公通[20XX]34號《永州市電子政務安全管理暫行辦法》、永政辦發[20XX]20號《永州市政府網站建設和管理暫行辦法》、永政辦發[20XX]51號《永州市人民政府辦公室關於做好市政府入口網站內容保障工作的意見》等有關規定,制定本制度。
第二條本制度所稱政府入口網站,是由永州政府網主網站***簡稱主網站***和市政府各部門、直屬單位、辦事機構以及各縣區政府和我市部分重點企業的子網站***簡稱子網站***組成的政府入口網站群。
本制度所稱資訊資源,是指各級政府及其部門以及依法行使行政管理職能的組織在履行管理職責或提供公共服務過程中製作、獲得或掌握的應公開發布的政務資訊和公共服務資訊。
第三條永州市資訊化管理辦公室是政府入口網站的領導機構。市資訊化管理辦公室網路建設科負責組織指導、協調全市政府入口網站的統籌規劃和建設管理工作,並具體承辦主網站的建設、執行維護和日常管理,負責為各子網站提供網路環境和技術支援。
各縣、區人民政府和市政府各部門、直屬單位等負責本地區、本部門***單位***子網站的建設、維護和日常管理工作,並接受市資訊化管理辦公室的業務指導和監督。
第二章網站建設第四條按照全市電子政務工作發展總體要求,各縣、區及市政府各部門必須建設各自子網站,實現網上政務資訊公開和線上服務。
第五條主網站及子網站建設,需報市資訊化管理辦公室進行登記並經由國家資訊產業部備案。
第六條子網站建設要依託主網站網路資源,以利於資源整合、節省投資,市資訊化管理辦公室為主網站和子網站提供虛擬空間和支援平臺,縣、區及部門、單位負責子網站的欄目規劃、資源管理和內容提供;個別應用規模較大的部門可以按照有關規範要求自行建設。
第七條採用虛擬主機方式的,網站安全執行及網路管理統一由市資訊化管理辦公室負責,各部門負責本單位資訊的整理、編輯及上傳和釋出工作。採用主機託管方式的,網路的管理由市資訊化管理辦公室負責,伺服器的設定及應用由部門負責。採用本地管理方式的,部門應當設定子網站管理人員,負責本單位子網站的安全執行。
第三章資訊資源管理
第八條政府入口網站資訊資源開發建設管理工作由市資訊化管理辦公室負責,各縣、區和市政府各部門有義務根據行政管理和公共服務需要進行資訊資源的採集、加工和開發工作。
第九條政府資訊資源必須按永政辦發[20XX]51號《永州市人民政府辦公室關於做好市政府入口網站內容保障工作的意見》有關內容進行公開,並遵循“誰釋出,誰負責;誰承諾,誰辦理”原則。
第十條政府入口網站建立規範的資訊採集、稽核和釋出機制,實行網站資訊員制度。
各縣、區和市政府各部門、各單位指定專人負責網站資訊的採編工作,並對網站資訊釋出實行專職專責。網站資訊員負責資訊釋出日常事務,並負責向主網站報送本部門需要公開發布的資訊,代表本部門在其網站上提供實時資訊諮詢服務。
第十一條擬對外公開的政務資訊在上網釋出前,應經本部門分管負責人審查同意,對審查上傳的內容進行登記建檔,需要在政府主網站釋出的資訊還需經主網站負責人稽核確認。
第十二條涉及全市的政務資訊、政府檔案、公共服務資訊、重大事項、重要會議通知公告等資訊資源在子網站釋出的同時必須報送給主網站對外發布,同時,必須保證主網站與子網站所釋出資訊的權威性、一致性和時效性。
涉及全市的重大政務活動,有關部門應及時將有關活動情況報送給主網站進行相應資訊釋出。
第十三條對互動性欄目,要加強網上互動內容的監管,確保資訊的健康和安全。建立網上互動應用的接收、處理、反饋工作機制,確定專人及時處理、答覆網上辦理、投訴、諮詢和意見、建議。
第十四條根據國家有關保密法律、法規,嚴禁涉密資訊上網。
第十五條市資訊化管理辦公室根據需要提供網站資訊員資訊採集及相關技術操作培訓工作。
第四章網站執行維護第十六條主網站執行維護工作由市資訊化管理辦公室負責,子網站執行維護由各縣、區政府及各部門、各單位自行負責。
第十七條政府網站有關裝置要定期巡檢,保證網站每天24小時正常開通運轉,以方便公眾訪問。
第十八條建立網站資訊更新維護責任制。各部門應明確分管負責人、承辦部門和具體責任人員,負責本部門網站日常維護工作,並建立相應的工作制度。第十九條定期備份制度。主網站和子網站應當對重要檔案、資料、作業系統及應用系統作定期備份,以便應急恢復。特別重要的部門還應當對重要檔案和資料進行異地備份。
第二十條口令管理制度。主網站和子網站應當設定網站後臺管理及上傳的登入口令。口令的位數不應少於8位,且不應與管理者個人資訊、單位資訊、裝置***系統***資訊等相關聯。每三個月須更換一次網站登入口令,嚴禁將各個人登入帳號和密碼洩露給他人使用。
第二十一條機房管理制度。主網站和子網站機房應建立嚴格的門禁制度和日常管理制度,機房及機房內所有裝置必須由專人負責管理,每日應有機房值班記錄和主要裝置執行情況的記錄。外來系統維護人員進入機房,應由技術人員陪同並對工作內容做詳細記錄。
第二十二條安全測評制度。主網站和子網站系統應當由永州市資訊化管理辦公室按照《計算機資訊系統安全測評通用技術規範》的要求,對系統安全性進行測評。新建網站需經測評合格後,方可正式投入執行。已建成投入使用的網站,應當按照上述要求予以補測。
第二十三條伺服器和網站定期檢測制度。主網站和子網站應及時對網站管理及伺服器系統漏洞進行定期檢測,並根據檢測結果採取相應的措施。要及時對作業系統、資料庫等系統軟體進行補丁包升級或者版本升級,以防黑客利用系統漏洞和弱點非法入侵。
第二十四條客戶端或錄入電腦安全防範制度。網站負責人、技術開發人員和資訊採編人員所用電腦必須加強病毒、黑客安全防範措施,必須有相應的安全軟體實施保護,確保電腦內的資料和帳號、密碼的安全、可靠。
第二十五條應急響應制度。主網站和子網站應當充分估計各種突發事件的可能性,做好應急響應方案。同時,要與崗位責任制度相結合,保證應急響應方案的及時實施,將損失降到最低程度。
第二十六條安全事件報告及處理制度。主網站和子網站在發生安全突發事件後,除在第一時間組織人員進行解決外,應當及時向市資訊化管理辦公室和市網安辦報告,並由其給予及時的指導和必要的技術支援,同時將部門網站報告的情況反饋給入口網站,並視安全突發事件的嚴重程度,及時協調公安、電信等部門進行處理。
第二十七條人員管理制度。主網站和子網站應當制定詳細的工作人員管理制度,明確工作人員的職責和許可權。要通過定期開展業務
培訓,提高人員素質,重點加強負責系統操作和維護工作的人員的培訓考核工作,實行考核上崗制度。同時,規範人員調離制度,做好保密義務承諾、資料退還、系統口令更換等必要的安全保密工作。
第五章監督管理
第二十八條市資訊化管理辦公室定期檢查各縣、區及各部門、各單位資訊採集報送、子網站執行管理及更新維護情況,並將監測結果在主網站及其它有關媒體上進行通報。
第二十九條子網站未能按照上述要求及時進行資訊更新或網頁不能開啟,經聯絡溝通後一週內問題未能解決的,主網站將取消其連結。
第三十條主網站將不定期組織開展網上評議,由公眾評議各子網站建設和維護情況。
第三十一條資訊化管理辦公室每年根據檢查監測及網上評議情況組織優秀子網站評選,並將評選結果作為電子政務建設考評的重要依據。
第三十二條網站資訊釋出稽核、把關不嚴,造成失、洩密的,按照國家保密法有關規定處理。
第六章附則
第三十三條本制度自20XX年6月1日起實施。
二
為加強我縣電子政務網路安全管理工作,確保網路安全執行,結合我縣的實際情況特制定電子政務。
1、各單位網路管理人員必須精心維護好單位的網路裝置,做到防塵、防熱、防潮、防水、防磁、防靜電等,以增加裝置使用年限。縣政府辦將定期對各單位的網路管理情況進行檢查,發現不能達到以上要求的單位,將對其進行通報批評,對由於管理人員疏忽造成網路安全事故的,將追究相關管理員及單位領導責任。
2、各聯網單位不得隨意更改政務網路接入裝置配置,不得擅自切斷電子政務網路裝置電源,不得擅自挪動相關裝置和切斷、移動相關傳輸線路,不得擅自與其他網路對接,不得隨意增加交換機、集線器以及接入資訊點數量,如需進行以上變動,應向縣政府辦資訊科提出申請,經批准後方可實施。
3、各聯網單位要增強網路安全意識,嚴禁登陸瀏覽******網頁***,禁止下載、使用存在安全隱患的軟體,不得開啟來歷不明的***附件,不得隨意使用計算機檔案共享功能,防止計算機受到病毒的侵入。
4、工作時間禁止玩網遊、下載電影及大型軟體,以保證本單位網路速度。縣政府辦資訊科將採取技術措施對網際網路出***的資料進行監控,對發現的問題將在全縣範圍內進行通報,並按照相關規定嚴肅處理。
5、政務網計算機使用單位和個人,都有保護政務網資訊與網路安全的責任和義務,所有關於本單位網站、論壇、資訊錄入等密碼要嚴格保密不得洩露,一旦洩露立即報政府辦資訊科進行密碼修改。
6、各接入單位應當定期製作計算機資訊系統備份,備份介質實行異地存放。對可能遭受的侵害和破壞,應當制定災難防治預案。
7、要配備計算機系統補丁升級和病毒防治工具,定期進行系統補丁升級和病毒檢查。使用新機、新盤及拷貝的軟體、資料,上機前應進行系統補丁升級和病毒檢查。
8、辦工人員嚴禁下列操作行為:
***1***非法侵入他人計算機資訊系統和聯網裝置作業系統;
***2***未經授權對他人計算機資訊系統的功能進行刪除、修改、增加和干擾,影響計算機資訊系統正常執行;
***3***故意製作、傳播計算機病毒等破壞程式;
***4***將非業務用計算機或網路擅自接入政務內網,將業務用計算機或網路接入網際網路或其他非政府機關的網路;
***5***在政務網使用的計算機及網路裝置在未採取安全隔離措施的情況下同時連線政務網和其它網路;
***6***將存有涉密資訊的計算機擅自連線國際網際網路或其他公共網路;
***7***擅自在政務網上開設與工作無關的網路服務;
***8***釋出反動、淫穢色情等有害資訊;
***9***擅自對政務網計算機資訊系統和網路進行掃描;
***10***對資訊保安事***案***件或重大安全隱患隱瞞不報;
***11***擅自修改計算機ip或mac地址。
9、在發生緊急事件時,為避免造成更大損失和影響,資訊科有權或者要求有關部門採取以下措施:
***1***拆除可能影響安全或有安全隱患的裝置或部件;
***2***隔離相關的終端、伺服器或網路;
***3***關閉相關的終端、伺服器或網路;
10、各節點單位要加強計算機病毒的防治工作,切實履行下列職責:
***1***建立本單位的計算機病毒防治管理制度;
***2***採取計算機病毒安全技術防治措施;
***3***對本單位節點微機使用人員進行計算機病毒防治教育和培訓;
***4***使用具有計算機資訊與系統安全專用產品銷售許可證的網路安全產品,定期檢測,做好防毒軟體的升級,清除計算機資訊系統中的計算機病毒,並備有檢測清除記錄;
***5***禁止在政務網上使用來歷不明、可能引發病毒傳染的軟體;對於來歷不明的可能帶有計算機病毒的軟體應使用正版防毒軟體檢查、防毒。
三
1、遵守國家有關法律、法規,嚴格執行安全保密制度,不得利用網路從事危害國家安全、洩露國家祕密等違法犯罪活動,不得製作、瀏覽、複製、傳播反動及黃色資訊,不得在網路上釋出反動、非法和虛假的訊息,不得在網路上漫罵攻擊他人,不得在網上洩露他人隱私。嚴禁通過網路進行任何黑客活動和性質類似的破壞活動,嚴格控制和防範計算機病毒的侵入。
2、網路安全管理員主要負責全單位網路***包含區域網、廣域網***的系統安全性。
3、良好周密的日誌審計以及細緻的分析經常是預測攻擊,定位攻擊,以及遭受攻擊後追查攻擊者的有力武器。應對網路裝置執行狀況、網路流量、使用者行為等進行日誌審計,審計內容應包括事件的日期和時間、使用者、事件型別、事件是否成功等內容,對網路裝置日誌須儲存三個月。
4、網路管理員察覺到網路處於被攻擊狀態後,應確定其身份,並對其發出警告,提前制止可能的網路犯罪,若對方不聽勸告,在保護系統安全的情況下可做善意阻擊並向主管領導彙報。
5、每月安全管理人員應向主管人員提交當月值班及事件記錄,並對系統記錄檔案儲存收檔,以備查閱。
6、網路裝置策略配置的更改,各類硬體裝置的新增、更換必需經負責人書面批准後方可進行;更改前需經過技術驗證,必須按規定進行詳細登記和記錄,對各類軟體、現場資料、檔案整理存檔。
7、定期對網路裝置進行漏洞掃描並進行分析、修復,網路裝置軟體存在的安全漏洞可能被利用,所以定期根據廠家提供的升級版本進行升級。
8、對於需要將計算機外聯及接入的,需填寫網路外聯及准入申請表***附件十、《網路外聯及准入申請表》***。
9、對關鍵網路裝置和關鍵網路鏈路需進行冗餘,以保證高峰時的業務需求,以消除裝置和鏈路出現單點故障。
10、IP地址為計算機網路的重要資源,計算機各終端使用者應在資訊科的規劃下使用這些資源,不得擅自更改。另外,某些系統服務對網路產生影響,計算機各終端使用者應在資訊科的指導下使用,禁止隨意開啟計算機中的系統服務,保證計算機網路暢通執行。
11、每個月對網路裝置安全檔案,安全策略進行備份。
政府採購非招標採購方式管理實施辦法